„Abmahnungen“ wegen Google Tag Manager?

Aktuell ist es recht ruhig, was an der derzeitigen Ferienzeit liegen wird. Auch wir genießen die Ruhe und haben uns eine Auszeit mit Urlaub gegönnt.

Leider wurde der Urlaubsmodus gestern spontan unterbrochen, als eine Information eines Mandanten ins Haus geflattert ist.

Wie wir bereits zuvor berichtet haben, sind die Google Dienste immer wieder Grund für Streitigkeiten zum Datenschutz. Google Analytics und Google Fonts sind dabei mehrfach in den Medien gelandet und haben zuletzt zumindest in Bayern sogar für einen Schadensersatz bei einem Betroffenen gesorgt. Auch wir haben immer wieder darauf hingewiesen, dass die Nutzung der Google-Dienste auf der Webseite schnell zu Ärger führen kann, wenn die Einbindung nicht korrekt erfolgt ist.

Bei Google Fonts geht es dabei maßgeblich darum, dass die Fonts ohne deutliche Nachteile auch im eigenen Webspace bereitgestellt werden können und damit mit wenig bis etwas Aufwand eine Datenübermittlung (mind. die IP-Adresse des Webseitenbesuchers) an Google verhindert werden kann.

Google Analytics und Google Tag Manager kann man natürlich nicht im eigenen Webspace betreiben. Diese Einbindungen sind gleichzeitig aber auch nicht technisch notwendig, damit die Webseite funktioniert. Es ist mittlerweile eigentlich allen klar und bekannt, dass diese Dienste nur dann eingebunden werden sollten, wenn eine Einwilligung des Betroffenen im Rahmen des Consent-Managements erfolgt ist. Zur Einholung dieser Einwilligungen wird eben deshalb auf entsprechende Cookie-Banner zurückgegriffen, z.B. CookieBot, BorLabs oder Usercentrics, um mal 3 Anbieter beispielhaft zu benennen.

Und genau hier setzt die vorliegende „Abmahnung“ an!


Analyse der betroffenen Webseite

Auf der Webseite des betroffenen Unternehmens wurde der Google Tag Manager eingesetzt. Der CookieBot war zwar vorhanden, aber ist technisch unzureichend implementiert gewesen.

So enthielt die Datenschutzerklärung einen Hinweis auf den Google Tag Manager und unterrichtete die Betrachter der Webseite auch darüber, dass der GTM nur eingebunden würde, wenn die Einwilligung des Besuchers vorliegen würde, nur leider war dies technisch nicht so gelöst.

Denn während der CookieBot noch für den Besucher sichtbar war und keine aktive Auswahl getroffen wurde, wurde über den Quelltext der Webseite bereits der Google Tag Manager geladen.


Details zur „Abmahnung“

Der Vorwurf ist damit klar. Google Tag Manager wurde ohne gültige Rechtsgrundlage auf der Webseite eingebunden bzw. die IP-Adresse des Besuchers wurde an die Webserver von Google übermittelt.

Aus diesem Grund fordert der „Betroffene“ vom Verantwortlichen zuerst natürlich die Abstellung des Mangels. Immerhin wolle er zukünftig ohne die Datenübermittlung die Webseiten des Verantwortlichen aufrufen können.

Damit dies nicht wieder passiere und diese Forderung kein „zahnloser Tiger“ ist, wird zugleich die Abgabe einer Unterlassungserklärung gefordert.

Die Unterlassungserklärung regelt dabei, dass bei wiederholten Verstößen eine Strafe durch den Verantwortlichen zu zahlen ist. Die Höhe der Strafe wird auf 3.000,00 EUR festgelegt.

Beide Forderungen sind dabei mit einer Frist von einem Monat versehen.

Die Frist ist dabei sogar realistisch und orientiert sich an den ohnehin bestehenden Fristen, die die Datenschutzgrundverordnung den Unternehmen vorgibt, um auf eine Betroffenenanfrage zu reagieren.


Ist die „Abmahnung“ rechtlich haltbar?

Nun, es ist unstrittig, dass hier ein Fehler gemacht wurde und die Einbindung des Google Tag Managers nicht korrekt erfolgt ist. Selbst die Datenschutzerklärung der Webseite belegt bereits, dass die Einbindung im vorliegenden Fall nicht korrekt durchgeführt wurde.

Rein sachlich dürfte daher an dem Umstand kein Zweifel bestehen. Folgende Punkte könnten aber zumindest juristisch geprüft werden:

  1. Ist die Unterlassungserklärung in dieser Form in Ordnung, oder sollte diese angepasst werden?
  2. Im Schreiben selbst gibt der Absender zu, dass die Webseiten über ein Programm abgerufen und analysiert worden sind. Damit geht es dem Absender gar nicht um seine eigene Privatsphäre, sondern er hat es wissentlich darauf angelegt Webseiten zu finden, die eine fehlerhafte Einbindung des Google Tag Managers aufweisen.
  3. Der „Schaden“ ist also wissentlich und freiwillig durch den Absender in Kauf genommen worden.

Ob der Absender Loris Bachert seine Forderung also letztendlich gerichtlich überhaupt einfordern kann, bzw. ob er vor Gericht zu seinem Recht kommen würde, ist ungewiss.


Handlungsempfehlung für betroffene Unternehmen

Wir empfehlen daher allen betroffenen Unternehmen rechtlichen Rat einzuholen, wie mit der „Abmahnung“ umgegangen werden soll.

Zudem sollte der aufgefallene Mangel natürlich behoben werden. Suchen Sie aber auch aktiv nach weiteren potenziellen „Angriffszielen“, in dem Sie auch die allgemeinen Handlungsempfehlungen beachten.

Melden Sie uns entsprechende Erkenntnisse aber auch gerne zurück. Denn Sie wissen ja, wir betrachten unsere Mandanten als Community. Wenn ein Mandant eine Information von uns benötigt, versuchen wir das entstandene Wissen allen Mandanten zur Verfügung zu stellen.


Allgemeine Handlungsempfehlung

Wir erinnern nochmals daran, dass alle Plugins, gerade solche von Drittanbietern, nur dann ohne Einwilligung in die Webseite einzubinden sind, wenn dies zur Bereitstellung der Webseite technisch unbedingt notwendig ist. Dies bedeutet, dass es keine – vielleicht aufwändigere – andere Möglichkeit gibt das gleiche Ergebnis zu erreichen.

Hierzu nochmal die Erinnerung an Google Fonts: Die alternative Bereitstellung ist aufwändiger, weil die Schriftarten erst in den lokalen Webspace kopiert und die Scripte zur Einbindung angepasst werden müssen. Dieser Mehraufwand führt dazu, dass die Weitergabe der Informationen über den Webseitenbesucher an Google nicht mehr stattfindet, und damit wird die Nutzung der Google Fonts datenschutzkonform.

Auch beim Google Tag Manager sorgt das Plugin nur für Bequemlichkeit. Auch hier liegt keine Notwendigkeit vor. Insgesamt sollte man auch darauf achten, dass der Drittanbieter keine eigenen Interessen an den zur Verfügung gestellten bzw. gesammelten Daten hat. Im Falle von Google kann mit ruhigem Gewissen davon ausgegangen werden, dass die Daten zur Profilerstellung und damit zur Optimierung der Werbeeinnahmen verwendet werden.

Daher:

  1. Prüfen Sie, welche Drittanbieter aktuell in Ihren Webseiten genutzt werden und überprüfen Sie die Notwendigkeit. Alles was nicht notwendig ist, gehört zur Einholung einer Einwilligung hinter einen Cookie-Banner.
  2. Schauen Sie Ihrem Webdesigner auf die Finger. Nachdem Anpassungen an der Webseite vorgenommen worden sind, sollten Sie unbedingt prüfen, ob technisch noch alle Drittanbieter so eingebunden sind, wie es unter Schritt 1 festgelegt wurde.
  3. Auch nach Updates des Content-Management-Systems oder von Plugins innerhalb des CMS sollte eine Überprüfung wie in Schritt 2 erfolgen.
  4. Zusätzlich sollte bei Änderungen auch immer geprüft werden, ob die vorhandene Datenschutzerklärung noch mit den eingesetzten Drittanbietern übereinstimmt und ggf. muss diese Datenschutzerklärung angepasst werden.

Wenn Sie Anpassungen an den Webseiten vorgenommen haben, stehen wir Ihnen gerne auch für eine Analyse Ihrer Webseite zur Verfügung. Nehmen Sie bitte in diesen Fällen Kontakt mit uns auf, denn wir können nicht ständig alle Webseiten unserer Mandanten im Blick haben!


Sollten Sie weitere Fragen zur Einbindung von Drittanbietern in der Webseite des Unternehmens haben, oder generell weitere Fragen zum Datenschutz, dann stehen wir Ihnen selbstverständlich gerne zur Verfügung.

Jetzt Kontakt aufnehmen!

Bei Fragen und Anmerkungen stehen wir Ihnen gerne zur Verfügung.

Not readable? Change text. captcha txt

Start typing and press Enter to search

Pixabay@Pexelspexels-cottonbro-3943745